Trojaner TR/PSW.Steam (extreme Internetprobleme)

Gerd88 · 16.01.2008, 20:06

Hallo Leute,

Seit vorgestern habe ich extreme Probleme mit meinem Internet, ich verwende Mozilla Firefox und habe Windows XP.

Das Problem tauchte ur plötzlich ohne Vorwarnung auf, davor hatte ich eigentlich nie Probleme mit meinem PC. Seiten werden nur extrem langsam und sehr fehlerhaft geladen, auch das öffnen eines Browserfensters dauert sehr sehr lange. Wenn ich dann zB. auf einer Seite bin und einen Menüpunkt anklicken will zB. in einem Forum "Antworten" klicke ich drauf es lädt und rechts ganz kurz und verschwindet gleich wieder aber das Fenster zum Antworten öffnet sich nicht. Erst wenn ich 10-15 mal draufklicke und ich Glück habe öffnet sich das gewünschte Fenster. Oder eine Seite kann gar nicht angezeigt werden, der Bildschirm bleibt Weiß und links unten im Fenster steht "Fertig". Mit dem Internexplorer geht ohnehin gar nichts mehr. Hab versucht mit ihm ins Netz zu kommen doch der zeigt gleich gar nix an.

Nach einem AntiVir Testlauf fand mein System zwei Trojaner

TR/PWS.Steam
TR/PWS.Steam.M

Ich hab beide gelöscht aber es findet keine Besserung statt.

Hier noch mein Hijackthislog. Evtl. kann mir ja jemand helfen währe super nett :/

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:40, on 16.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\winlogin.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\JavaSoft\JRE1.4\14268D~1.2\bin\javaw.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Patrick\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://search.msn.at/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://at.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu36C\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu36C\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {43FCAE36-ED55-4DDD-A81D-149A8DA6D732} - C:\WINDOWS\system32\pmspl32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu36C\toolbaru.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Microsoft Windows Updaterr] winlogin.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft Windows Updaterr] winlogin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Updaterr] winlogin.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: uboot joe autostart check.LNK = C:\Programme\uboot joe\ubootjoeautostartcheck.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]h**tp:/go.microsoft.com/fwlink/?linkid=39204[/url
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - url]h**p:/www.bitdefender.de/scan8/oscan8.cab[/url
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - url]h**p:/v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111681525636url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B555D18-4C35-470F-8B05-D923805BEC65}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 10496 bytes

Was kann ich noch tun ?

irrlicht · 16.01.2008, 20:56

Hallo,
Gratulation...:aplaus:
Du hast das "mach eine Neuinstallation" -Los gezogen....
Grund ist dieser sehr gefährliche und böse Wurm,der vermutlich über einen Email-Anhang zu dir gefunden hat...Einmal zuviel geklickt..

W32/Agobot-IX - Wurm - Sophos Bedrohungsanalyse

Du findest unsere Anleitung hier :

http://www.trojaner-board.de/12154-a...sicherung.html

noch ein Tips....

Geklaute Software hat den Nachteil daß man nie genau weiß was der ursprüngliche Dieb so alles dran gehängt hat....
Desweiteren genügt ein AV-Scanner.Zwei oder mehr kommen sich sehr gerne in die Quere.Das kann bis zum Systemabsturz führen....
Diesen Quatsch hier solltest du nach einer Neuinstallation weglassen.Der bringt Werbung mit.Das steht sogar in den AGB`s dazu .....AGB ?? Das ist das Geschreibsel das du immer wegklickst...

Aus den Tauschbörsen ,wie Bearshare beispielsweise,holt man sich sämtliche möglichen Seuchen und Infektionen.....Besser du läßt das ,sonst bist du bald wieder hier.....
Gutes Gelingen ...
Irrlicht

Gerd88 · 16.01.2008, 21:08

Hallo ^^

Danke erstmal für die rasche Antwort.

Also ja ich hab bearshare und limewire mal verwendet allerdings hatt ich dort noch keine sichtbaren beschwerden aber man weiß ja nicht was hinter seinem rücken so abläuft^^.

Auf jeden Fall klicke ich nie Emails an von dennen ich nicht weiß woher sie kommen. Oder reicht es schon wenn man sie nur so öffnet ? Das mach ich normla zwar auch nicht aber wenn ich mir nicht zu 100% sicher bin hab ich hin und wieder mal eine geöffnet aber dann NIEMALS die Anhänge usw. Reicht das schon für eine Infektion ?

Also ich hab mal das Microsoft Removal Tool gegen Malware installiert udn laufen lassen das hat was gefunden was ich gelöscht hab

ein Trojaner GR/Backdoor/rbot32 so in die richtung.

Nachdem der jetzt weg is, geht zumindest inet wieder normal.

irrlicht · 16.01.2008, 21:17

Hallo,
es ist deine Kiste und es steht dir frei damit zu tun was du möchtest...
Zumindest bis der Staatsanwalt deinen PC beschlagnahmt...

Je nach dem als was man dich verdächtigt, ist auch ein bissel U-Haft für dich drin...
Was bitte hast du an meinem Sophos -Link nicht verstanden ?
Hast du ihn dir wenigstens schon mal angesehen ?
In meinem Satz zu dem möglichen Weg der Infektion, steht das Wörtchen "VERMUTLICH"....

Die Regel für solche Würmer heißt nunmal : entweder Email Anhang oder Bearshare-Geklautes......

Mir persönlich ist vollkommen egal ,ob du tust was ich dir anrate...
Du weißt nun Bescheid und wirst von mir nix mehr dazu hören...

Irrlicht

Trojaner TR/PSW.Steam (extreme Internetprobleme)

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/PSW.Steam (extreme Internetprobleme)